Golpe do WhatsApp Clonado + Pix: Como se Proteger em 2026

Equipe Saferinfo 9 min de leitura
Celular com WhatsApp e símbolo do Pix ao lado de um escudo verde representando proteção contra golpes

Segundo a Febraban, o golpe do WhatsApp clonado atingiu 153 mil brasileiros em 2024 e liderou o ranking de fraudes bancárias do ano. O quadro não melhorou: entre julho de 2024 e junho de 2025, 24 milhões de brasileiros foram vítimas de golpes via Pix e boletos, e o WhatsApp aparece em quase 65% dos golpes analisados entre maio de 2025 e abril de 2026 — o principal canal de circulação desse tipo de fraude no país. No primeiro semestre de 2025 já eram quase 7 milhões de tentativas de fraude, uma a cada 2,3 segundos.

Em 2026, uma variação mais sofisticada do golpe apareceu: em vez de só clonar a conta, criminosos agora clonam a própria conversa e interceptam a chave Pix no momento em que ela é copiada. Este guia explica como cada golpe funciona e o que fazer para se proteger — incluindo as novas regras do Banco Central que entraram em vigor em 2026.

O golpe clássico: como a conta é clonada

O criminoso cria um pretexto convincente — suporte técnico, confirmação de agendamento, recadastro de conta comercial — para induzir a vítima a compartilhar o código de verificação de seis dígitos enviado por SMS ou ligação. Esse código é justamente o que o WhatsApp usa para registrar uma conta em um novo aparelho.

Com o código em mãos, o golpista registra a sua conta no celular dele, ganha acesso a nome, foto de perfil e lista de contatos, e passa a se passar por você (ou por um contato próximo) para pedir Pix “emergencial” a amigos e familiares — geralmente com urgência e um motivo emocional (acidente, hospital, problema no trabalho).

A regra de ouro: o código de seis dígitos do WhatsApp nunca deve ser compartilhado com ninguém, sob nenhum pretexto. Nenhuma equipe de suporte legítima do WhatsApp, banco ou operadora precisa dele.

A novidade de 2026: clonagem de conversas + sequestro da área de transferência

Um golpe mais recente vai além de assumir a conta: ele explora o comportamento de copiar e colar a chave Pix recebida numa conversa.

Como funciona, segundo levantamentos recentes:

  1. A vítima instala um aplicativo ou arquivo malicioso baixado fora das lojas oficiais (Google Play ou App Store)
  2. O malware passa a monitorar tudo o que é digitado e copiado no aparelho, de forma silenciosa
  3. Em alguns casos, o esquema chega a simular ou reproduzir conversas reais com contatos da vítima, aumentando a sensação de legitimidade
  4. Quando a vítima copia uma chave Pix recebida numa conversa (legítima ou forjada) e cola no aplicativo do banco, o malware substitui os dados automaticamente antes da confirmação — direcionando o valor para a conta do golpista sem que a vítima perceba

Esse método atinge tanto pessoas físicas quanto empresas que fazem pagamentos frequentes por Pix, e é particularmente perigoso porque não depende de a conta do WhatsApp estar clonada — o comprometimento acontece no próprio aparelho.

Por que o Pix é o alvo preferido

Levantamentos da Febraban mostram que 71% dos golpes analisados entre 2025 e 2026 prometem algum tipo de vantagem financeira — benefícios sociais, promoções, recompensas em Pix — como isca inicial. O sistema financeiro brasileiro movimentou R$ 35 trilhões em transações no período avaliado, com perdas totais com golpes e fraudes bancárias somando R$ 29 bilhões; especificamente os prejuízos ligados a golpes via Pix somaram quase R$ 3 bilhões em dois anos. Em resposta, as instituições financeiras investiram R$ 47 bilhões em tecnologia em 2025, dos quais R$ 4,7 bilhões destinados só a segurança e prevenção a fraudes.

O que mudou: novas regras do Banco Central em 2026

Desde maio de 2026, todos os bancos e instituições de pagamento são obrigados a adotar o MED 2.0 (Mecanismo Especial de Devolução), com duas mudanças relevantes para quem é vítima de golpe:

  • Rastreamento em múltiplos níveis: a devolução não fica mais restrita à conta que recebeu o valor inicialmente — o sistema agora rastreia transferências para contas intermediárias, mesmo depois do dinheiro passar por vários destinos
  • Bloqueio obrigatório: instituições participantes do Pix devem bloquear valores suspeitos de fraude por até 11 dias enquanto a análise é feita, com prazo estimado de recuperação também em até 11 dias após a contestação
  • Compartilhamento de dados entre bancos, facilitando localizar e bloquear a movimentação suspeita antes que o golpista consiga sacar ou pulverizar o valor

Isso não elimina o risco, mas aumenta as chances reais de recuperar o dinheiro se a contestação for feita rapidamente.

Como se proteger: passo a passo

1. Ative a verificação em duas etapas no WhatsApp

Em Configurações → Conta → Confirmação em duas etapas, crie um PIN de seis dígitos (evite sequências óbvias ou datas de nascimento) e cadastre um e-mail de recuperação. Isso impede que alguém registre sua conta em outro aparelho mesmo que tenha conseguido o código SMS — o PIN é uma segunda trava que só você conhece.

2. Ative o PIN do chip na operadora

Com a senha do chip ativada, se o SIM card for removido e colocado em outro celular, ele exige uma senha para funcionar. Sem ela, o chip não emite sinal e o golpista não recebe o SMS de verificação — uma proteção adicional contra o SIM swap (troca de chip).

3. Nunca compartilhe o código de seis dígitos

Nenhum motivo legítimo — suporte técnico, “confirmação de cadastro”, “verificação de segurança” — exige que você leia esse código para outra pessoa.

4. Confirme por voz antes de fazer qualquer Pix pedido por mensagem

Se um contato pedir Pix “urgente” pelo WhatsApp, ligue para a pessoa (chamada de voz, não mensagem) antes de transferir qualquer valor. Se a conta estiver clonada, o golpista não vai conseguir atender como se fosse a pessoa real.

5. Confira manualmente a chave Pix colada, não confie no “colar automático”

Diante do golpe de sequestro de área de transferência, o hábito mais simples de proteção é conferir os primeiros e últimos caracteres da chave Pix colada no aplicativo do banco antes de confirmar — muitos bancos já exibem o nome do destinatário na tela de confirmação; sempre confira se bate com quem você espera pagar.

6. Instale aplicativos apenas de lojas oficiais

Evite baixar APKs ou arquivos fora da Google Play e da App Store — é o principal vetor do malware que sequestra a área de transferência.

7. Restrinja quem vê sua foto de perfil e status

Em Configurações → Privacidade, limite a visualização da foto de perfil a “Meus contatos”. Isso dificulta que golpistas copiem sua identidade visual para aplicar o golpe em outras pessoas que não são seus contatos diretos.

8. Defina limites de valor e horário para Pix

A maioria dos bancos permite configurar um limite diário/noturno para transferências via Pix. Reduzir esse limite para o necessário no dia a dia limita o prejuízo máximo possível em caso de fraude.

Camada de proteçãoContra qual golpe protege
Verificação em duas etapas (PIN) do WhatsAppClonagem da conta via código SMS
PIN do chip na operadoraSIM swap / troca de chip
Confirmação por ligação de vozPedido de Pix por conta clonada
Conferência manual da chave Pix coladaSequestro de área de transferência
Apps só de lojas oficiaisMalware que rouba dados no aparelho
Limite de valor/horário no PixReduz prejuízo máximo em qualquer fraude

Se você já caiu no golpe

  1. Contate seu banco imediatamente para acionar o MED (Mecanismo Especial de Devolução) — quanto mais rápido, maior a chance de bloqueio antes do saque
  2. Registre um Boletim de Ocorrência, exigido para a maior parte dos processos de contestação
  3. Avise seus contatos que sua conta foi clonada, para que ninguém mais caia em pedidos de Pix em seu nome
  4. Redefina o WhatsApp seguindo o processo oficial de recuperação de conta e ative a verificação em duas etapas imediatamente depois

Para reconhecer as mensagens que costumam preceder esse tipo de golpe, veja também nosso guia de como identificar phishing e sobre engenharia social.

Perguntas frequentes

O WhatsApp me pede o código de verificação — isso é golpe? O próprio processo de instalação/login do WhatsApp no seu aparelho pede o código, e isso é normal quando é você quem está fazendo o login. O golpe acontece quando outra pessoa pede para você repassar esse código a ela — isso nunca é legítimo.

Ativar a verificação em duas etapas resolve tudo? Reduz drasticamente o risco de clonagem via código SMS, mas não protege contra o golpe de sequestro de área de transferência, que ocorre por malware no aparelho — por isso as camadas de proteção da tabela acima são complementares, não substitutas.

Consigo recuperar o dinheiro se caí no golpe do Pix? Depende da rapidez da contestação. Com o MED 2.0 em vigor desde maio de 2026, os bancos são obrigados a bloquear valores suspeitos por até 11 dias durante a análise, e o Banco Central estima recuperação em prazo semelhante — mas isso só funciona se a vítima contestar imediatamente após perceber a fraude.

Empresas também são alvo desse golpe? Sim. O golpe de sequestro de área de transferência afeta especialmente empresas que fazem pagamentos frequentes via Pix, já que um único desvio pode envolver valores bem mais altos que uma transferência pessoal.


O ponto em comum entre o golpe clássico e a variação de 2026 é que ambos exploram a confiança automática — no código que parece rotineiro pedir, na chave Pix que parece ter sido colada corretamente. As defesas mais eficazes também são simples: nunca compartilhar códigos, confirmar por voz, e conferir manualmente o que a tela mostra antes de confirmar qualquer transferência.

Fontes e referências:

Alertas de Segurança

Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.

Compartilhar: Twitter LinkedIn WhatsApp
S

Equipe Saferinfo

Especialistas em cibersegurança dedicados a tornar a segurança digital acessível para todos os brasileiros. Nosso objetivo é educar e proteger.

Leia também